日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云服務器 ECS 實踐教程 塊存儲最佳實踐 ECS數(shù)據(jù)加密的應用

ECS數(shù)據(jù)加密的應用

更新時間:
產(chǎn)品詳情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。

數(shù)據(jù)加密適用于數(shù)據(jù)安全或法規(guī)合規(guī)等場景,幫助您加密保護存儲在阿里云ECS上的數(shù)據(jù),您可以選擇對系統(tǒng)盤、數(shù)據(jù)盤或者鏡像進行加密,然后基于加密后的云盤和鏡像去創(chuàng)建ECS實例,以保護數(shù)據(jù)的隱私性和安全性。本文主要為您介紹加密云盤、快照和鏡像的一些限制條件和相關操作。

前提條件

請確保已購買和啟用KMS實例。具體操作,請參見購買和啟用KMS實例

背景信息

ECS云盤加密功能默認使用服務密鑰(Service Key)為用戶數(shù)據(jù)進行加密,也支持使用用戶主密鑰CMK(Customer Master Key)為用戶的數(shù)據(jù)進行加密。云盤的加密機制中,每一塊云盤會有相對應的用戶主密鑰CMK和數(shù)據(jù)密鑰DK(Data Key),并通過信封加密機制對用戶數(shù)據(jù)進行加密。更多信息,請參見云盤加密概述

注意事項

使用密鑰加密時,請仔細閱讀以下注意事項:

密鑰類型

注意事項

服務密鑰

每個地域每個用戶的服務密鑰(Service Key)唯一,不支持刪除和禁用操作。

自定義密鑰BYOK

  • 在ECS控制臺上首次選擇其他用戶主密鑰加密云盤時,需要單擊去授權,根據(jù)頁面引導為ECS授權AliyunECSDiskEncryptDefaultRole角色,允許ECS訪問您的KMS資源。

    關于角色的更多信息,請參見訪問控制RAM介紹

  • 在KMS控制臺創(chuàng)建密鑰時,需選擇Aliyun_AES_256或Aliyun_SM4密鑰類型,ECS創(chuàng)建加密云盤時暫不支持其他密鑰類型。

  • 用戶刪除、禁用BYOK密鑰前,需要確認卸載或更換該密鑰關聯(lián)的云盤,避免出現(xiàn)云盤數(shù)據(jù)丟失、實例啟動失敗等問題。查詢密鑰關聯(lián)的云盤信息,請參見API DescribeDisks

    因BYOK密鑰一旦刪除將無法恢復,使用該密鑰加密的內(nèi)容及產(chǎn)生的數(shù)據(jù)密鑰也將無法解密。在密鑰失效前,推薦您使用禁用密鑰功能,或者自行排查該密鑰是否存在關聯(lián)使用的云資源,避免密鑰丟失后數(shù)據(jù)不可恢復。

    警告

    因用戶手動創(chuàng)建的BYOK密鑰可被用戶進行刪除、禁用等操作導致密鑰失效,當密鑰失效后會存在已創(chuàng)建的加密云盤、加密鏡像、加密快照數(shù)據(jù)不可恢復的風險。

    聲明:由用戶自行操作密鑰失效后導致關聯(lián)的云盤資源相關數(shù)據(jù)丟失后不可恢復的風險,由用戶自行承擔責任。

加密系統(tǒng)盤

系統(tǒng)盤是裝有操作系統(tǒng)的云盤,只能隨實例創(chuàng)建,生命周期與掛載的ECS實例相同,您可以在創(chuàng)建實例時加密系統(tǒng)盤。

限制條件

限制項

說明

實例規(guī)格族

不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息,請參見實例規(guī)格族

云盤類型

僅支持ESSD云盤、ESSD AutoPL云盤和ESSD Entry云盤。

操作步驟

加密系統(tǒng)盤的具體操作,請參見加密系統(tǒng)盤

加密數(shù)據(jù)盤

加密數(shù)據(jù)盤后,數(shù)據(jù)盤上的動態(tài)數(shù)據(jù)傳輸以及靜態(tài)數(shù)據(jù)都會被加密。您可以在創(chuàng)建實例時加密數(shù)據(jù)盤,也可以在創(chuàng)建云盤時加密數(shù)據(jù)盤。

限制條件

加密數(shù)據(jù)盤時,如果選擇用快照創(chuàng)建磁盤,必須滿足以下條件才能選擇加密選項為數(shù)據(jù)盤加密。

限制項

說明

實例規(guī)格族

不包括ecs.ebmg5、ecs.ebmgn5t、ecs.ebmi3、ecs.sccg5、ecs.scch5、ecs.ebmc4和ecs.ebmhfg5。更多信息,請參見實例規(guī)格族

云盤類型

僅支持ESSD云盤、ESSD AutoPL云盤和ESSD Entry云盤。

操作步驟

加密數(shù)據(jù)盤的具體操作,請參見加密數(shù)據(jù)盤

加密快照

如果云盤是加密云盤,使用該云盤創(chuàng)建的快照也是加密快照。

操作步驟

創(chuàng)建快照的具體操作,請參見創(chuàng)建一個云盤快照

復制加密鏡像

復制鏡像可用于跨地域部署ECS實例、同地域或者跨地域變更加密鏡像與非加密鏡像的加密狀態(tài)。同地域或者跨地域加密復制鏡像后,您可以使用復制后的加密鏡像快速創(chuàng)建并運行同一鏡像環(huán)境的ECS實例。

限制條件

限制項

說明

地域限制

如果您是阿里云賬號,可以進行多地域復制,復制地域最多支持選擇5個。

鏡像類型

加密鏡像或者非加密鏡像。

操作步驟

復制加密鏡像的具體操作,請參見復制鏡像

共享加密鏡像

共享鏡像可用于跨賬號部署ECS實例。如果ECS實例掛載的云盤開啟了加密功能,則通過該ECS實例所創(chuàng)建的自定義鏡像為加密鏡像,此時您可以將加密后的自定義鏡像共享給其他阿里云賬號使用。該賬號可以使用您共享的加密自定義鏡像,快速創(chuàng)建并運行同一鏡像環(huán)境的ECS實例。

說明

共享加密自定義鏡像的功能目前支持華北2(北京)、華東2(上海)、中國(香港)、新加坡地域。

限制條件

限制項

說明

賬號權限

  • 您只能共享自己的自定義鏡像,其他用戶共享給您的鏡像無法再次共享。

  • 每份自定義鏡像支持共享的用戶數(shù)量有限制。在ECS管理控制臺找到每個自定義鏡像能夠共享用戶數(shù)限額配額項,查看每份自定義鏡像支持共享的用戶數(shù)量。

    說明

    您可以根據(jù)需要在ECS管理控制臺申請?zhí)嵘Y源配額。具體操作,請參見查看和提升資源配額

  • 共享對象是阿里云賬號(主賬號)時,鏡像的源賬號和目標賬號必須為阿里云賬號。阿里云賬號與其RAM賬號之間的相關權限說明如下:

    • 例如,阿里云賬號A共享鏡像給阿里云賬號B,則賬號B需要為其RAM賬號B1添加對應的自定義權限策略,實現(xiàn)相應的功能。詳細說明如下:

      說明

      場景一:如果RAM用戶B1(阿里云賬號B的子賬號)需要查看共享鏡像,則需要具備DescribeImages接口權限,自定義權限策略如下。

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:DescribeImages",
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      場景二:如果RAM用戶B1(阿里云賬號B的子賬號)需要通過共享鏡像創(chuàng)建ECS實例,則需要具備RunInstances或者CreateInstance接口權限,自定義權限策略如下。

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      更多信息,請參見通過腳本編輯模式創(chuàng)建自定義權限策略

    • 如果在某些特定場景下需要實現(xiàn)某些權限控制,例如僅允許RAM用戶B1(阿里云賬號B的子賬號)使用阿里云賬號A共享的自定義鏡像創(chuàng)建ECS實例,或者僅允許RAM用戶B1(阿里云賬號B的子賬號)使用自定義鏡像創(chuàng)建ECS實例,不允許使用公共鏡像、市場鏡像等創(chuàng)建ECS實例等場景,則賬號B需要為其RAM賬號B1添加對應的自定義權限策略。更多信息,請參見共享鏡像權限策略說明

    • 不支持中國站和國際站賬號之間互相共享鏡像。

密鑰使用建議

建議用戶為共享加密鏡像創(chuàng)建獨立的BYOK密鑰,避免KMS密鑰泄露導致安全風險。

地域限制

僅支持同地域跨賬號共享,不支持跨地域共享鏡像。

取消共享加密鏡像

  • 被共享者無法再通過ECS管理控制臺或ECS API查詢到該鏡像。

  • 被共享者無法再使用該鏡像創(chuàng)建ECS實例或者更換系統(tǒng)盤。

  • 被共享者使用共享鏡像創(chuàng)建的ECS實例無法重新初始化云盤。

禁用加密鏡像

  • 被共享者無法再使用該鏡像創(chuàng)建ECS實例或者更換系統(tǒng)盤。

  • 被共享者使用共享鏡像創(chuàng)建的ECS實例無法重新初始化云盤。

  • 被共享鏡像或鏡像依賴的資源是不可用狀態(tài)(例如賬號欠費、密鑰失效)時,共享鏡像不可新創(chuàng)建ECS實例,已創(chuàng)建的ECS實例以及根據(jù)云盤創(chuàng)建的快照、鏡像無法保證可用狀態(tài)。

操作步驟

共享加密自定義鏡像的具體操作,請參見共享加密自定義鏡像